Protection informatique de base : la méthode allemande pour un
Qu’est-ce que le BSI IT-Grundschutz ? L’IT-Grundschutz est la méthodologie du BSI (Bundesamt für Sicherheit in der Informationstechnik, Office fédéral allemand pour la sécurité des systèmes d’information) pour la mise en place et l’exploitation d’un système de management de la sécurité de l’information (ISMS). Elle fournit, via les normes BSI et le IT-Grundschutz-Kompendium (actuellement dans sa édition 2023), des composants et exigences concrets, plutôt que de se limiter à des objectifs abstraits. L’IT-Grundschutz est compatible avec la norme ISO/IEC 27001:2022 et peut être certifié selon cette norme en tant qu’ISO 27001 sur la base de l’IT-Grundschutz.
Points clés
- De quoi s’agit-il : Une méthodologie pratique du BSI qui trace la voie vers un ISMS grâce à des composants et des questions de contrôle prêts à l’emploi.
- Composants essentiels : Les normes BSI 200-1 à 200-4 et le IT-Grundschutz-Kompendium, incluant des composants pour les aspects techniques, organisationnels et processus.
- Quand est-ce pertinent : Lorsqu’une entreprise a besoin de directives concrètes plutôt que de simples définitions d’objectifs, notamment dans l’espace DACH (Allemagne, Autriche, Suisse) et dans le secteur public.
Structure du référentiel IT-Grundschutz
Le cadre est défini par les normes du BSI (Bundesamt für Sicherheit in der Informationstechnik). La norme 200-1 décrit les exigences générales relatives à un système de management de la sécurité de l’information (ISMS). La norme 200-2 établit la méthodologie et propose trois niveaux de protection : la protection de base pour une mise en œuvre rapide, la protection standard pour une couverture complète et la protection essentielle pour prioriser les actifs les plus critiques. La norme 200-3 couvre l’analyse des risques, tandis que la norme 200-4 traite de la gestion de la continuité d’activité.
Le cœur du dispositif réside dans le IT-Grundschutz-Kompendium, dans son édition 2023. Ce document rassemble plus de 100 modules organisés en dix couches thématiques, couvrant des sujets tels que les serveurs, les réseaux, les applications et les processus organisationnels. Chaque module identifie les menaces typiques ainsi que des exigences concrètes. C’est précisément cette approche pragmatique qui distingue la démarche allemande d’une simple norme de référence.
Les quatre normes du BSI constituent le socle méthodologique du référentiel IT-Grundschutz, de la gestion des systèmes d’information à la gestion des situations d’urgence
Source : BSI
Déroulement pratique d’un projet
Tout commence par l’analyse structurelle : quels processus métiers, applications, systèmes et locaux composent le réseau d’information ? Vient ensuite la détermination des besoins de protection, qui attribue à chaque objet un niveau de protection allant de normal à élevé, voire très élevé. Ce niveau de protection détermine l’intensité de la sécurisation nécessaire.
Les modules appropriés du Kompendium (compendium de mesures de sécurité) sont ensuite attribués et leurs exigences mises en œuvre. Un bilan comparatif (Soll-Ist-Abgleich) révèle les lacunes. Pour les domaines présentant un besoin de protection élevé ou très élevé, une analyse des risques selon la norme BSI 200-3 complète le socle de base. Le résultat est un niveau de sécurité documenté, traçable et vérifiable.
Démarrer avec la protection de base (IT-Grundschutz)
- ✓Définir clairement le réseau d’information et le périmètre d’application
- ✓Commencer par la protection de base pour obtenir rapidement des résultats
- ✓Identifier précisément les besoins de protection pour chaque processus et système
- ✓Associer les modules du Kompendium et documenter leur mise en œuvre
Protection des infrastructures informatiques de base (IT-Grundschutz) ou ISO 27001
Ces deux approches ne sont pas contradictoires. La norme internationale ISO/IEC 27001:2022 régit les systèmes de management de la sécurité de l’information (ISMS) et est largement adoptée. Elle définit des objectifs tout en laissant aux entreprises le soin de les mettre en œuvre concrètement. Le référentiel IT-Grundschutz (protection des infrastructures informatiques de base) fournit quant à lui le guide pratique manquant et permet, via une certification ISO 27001 basée sur l’IT-Grundschutz, de concilier les deux approches.
Les entreprises souhaitant une visibilité internationale et une flexibilité maximale optent souvent pour une certification purement ISO 27001. En revanche, celles recherchant des directives précises, une proximité avec les autorités ou une référence solide dans l’espace DACH (Allemagne, Autriche, Suisse) trouveront dans l’IT-Grundschutz une voie plus pragmatique. Dans les deux cas, le résultat est un système de management certifiable.
Les écueils les plus fréquents
L’erreur la plus courante consiste à définir un périmètre trop large. Vouloir sécuriser l’ensemble d’un groupe en une seule fois conduit à se perdre dans la complexité avant même que la première mesure ne produise ses effets. La protection de base proposée par la norme IT-Grundschutz offre justement une approche progressive : protéger d’abord les actifs les plus critiques, puis étendre progressivement la couverture.
Un deuxième piège réside dans la documentation. La norme IT-Grundschutz repose sur des décisions traçables, mais dans la pratique, la maintenance est souvent négligée une fois la phase initiale terminée. Un SMSI (Système de Management de la Sécurité de l’Information) est un processus continu qui nécessite des revues régulières et un responsable clairement identifié. Ce n’est qu’ainsi que le niveau de sécurité reste à jour et ne se dégrade pas avec le temps.
Outils et parcours vers la certification
Des outils sont mis à disposition pour gérer l’interconnexion des informations, les composants et l’alignement entre l’état actuel et l’état souhaité. Ils soulagent les équipes des tâches fastidieuses de comptabilité et assurent une traçabilité claire de l’avancement des mises en œuvre. Pour les grands réseaux, ce type de soutien fait toute la différence entre un SMSI (Système de Management de la Sécurité de l’Information) bien entretenu et un système abandonné.
À l’issue du processus, une certification peut être délivrée sur demande. Celle-ci est réalisée par des auditeurs certifiés par l’BSI (Office fédéral allemand de la sécurité des technologies de l’information), qui évaluent de manière indépendante le niveau de sécurité. Le certificat ISO/CEI 27001 basé sur la protection de base des systèmes d’information (IT-Grundschutz) constitue une preuve solide auprès des clients, partenaires et autorités de tutelle. La protection de base se termine par le testat du BSI, tandis que le certificat complet nécessite un audit par un auditeur avec une décision finale rendue par le BSI. Ce parcours impose la rigueur indispensable à tout système de management de la sécurité efficace.
Foire aux questions
Chaque question est verrouillée. Un clic déverrouille la réponse.
La protection de base des systèmes d’information (IT-Grundschutz) est-elle obligatoire ?
Pas systématiquement. Pour les autorités fédérales allemandes, il est largement contraignant. Les entreprises l’adoptent sur une base volontaire, souvent comme méthode de mise en œuvre de la norme ISO 27001 ou comme preuve de conformité dans le cadre des infrastructures critiques (KRITIS).
Quel est le coût pour se lancer ?
L’effort requis dépend de la portée concernée. La protection de base est conçue pour abaisser délibérément le seuil d’entrée, car elle couvre d’abord les exigences les plus importantes et permet une mise en œuvre complète ultérieurement.
Qu’est-ce que l’évaluation des besoins de protection ?
Une étape qui attribue à chaque objet dans le réseau d’informations un niveau de protection requis : normal, élevé ou très élevé. Elle détermine l’intensité des mesures de sécurité à mettre en œuvre.
L’IT-Grundschutz remplace-t-il la norme ISO/CEI 27001 ?
Non, il la complète. La certification ISO/CEI 27001 basée sur la protection de base des systèmes d’information (IT-Grundschutz) permet de relier les composants concrets à la norme internationalement reconnue.
À quel point ce compendium est-il à jour ?
Actuellement, c’est l’édition 2023 du Compendium de protection de base IT (version BSI) qui fait référence. Le BSI (Bundesamt für Sicherheit in der Informationstechnik) met régulièrement à jour ses composants pour qu’ils restent alignés sur l’évolution technologique.
Les choix de la rédaction
À lireLe plus faible des fournisseurs ouvre l’installation critiqueÀ lireQuels droits de décision du CISO doivent être régis par écrit
Plus du réseau MBF Media
cloudmagazinFlexera 2026 : ce que la moyenne entreprise peut réellement assumerDigital ChiefsIA souveraine : la responsabilité reste en interne



